З 8 жовтня 2025 року аналітики GreyNoise спостерігають масштабну хвилю атак на Remote Desktop Protocol (RDP, порт 3389/TCP) у США. Кампанію здійснює ботнет із понад 100 000 унікальних IP-адрес, а синхронізовані у часі дії з єдиною мережевою «почерковою» ознакою свідчать про централізоване управління інфраструктурою.
Масштаб кампанії і географія ботнету
Перший аномальний пік трафіку RDP зареєстровано з боку Бразилії, після чого аналогічна активність швидко поширилася на інші регіони. Серед найпомітніших джерел: Аргентина, Іран, Китай, Мексика, Росія, ПАР та Еквадор. За оцінкою GreyNoise, до кампанії залучені вузли більш ніж зі 100 країн, що вказує на широку децентралізовану базу скомпрометованих пристроїв і глибоку інфекцію як користувацьких, так і корпоративних систем.
Техніка і тактика: як працює кампанія проти RDP
Два профілі RDP-активності: від масового сканування до прицільних спроб
Дослідники виділяють дві поведінкові категорії: швидкі широкі сканування на наявність відкритих RDP-сервісів та більш повільні прицільні спроби встановлення сеансів. Хоча конкретні облікові дані й прийоми не розкриваються, такий профіль типовий для підготовки до несанкціонованої автентифікації, подальшої фази закріплення і розгортання шкідливої активності.
Мережеві індикатори: спільна TCP-сигнатура та варіативність MSS
Більшість задіяних IP демонструють спільну TCP-сигнатуру, що натякає на уніфіковане ПЗ або ідентичні шаблони мережевого стека на заражених вузлах. Водночас спостерігаються відмінності у MSS (Maximum Segment Size), ймовірно зумовлені різними кластерними групами всередині ботнету (провайдери, маршрути, регіональні політики). Поєднання єдиної сигнатури та часової синхронізації підкріплює висновок про координоване централізоване керування.
Чому атаки на RDP становлять підвищений ризик для США
RDP залишається одним із найчастіше зловживаних сервісів віддаленого доступу, адже відкриває прямий канал до серверів і робочих станцій. Галузеві звіти, зокрема FBI IC3 та Microsoft, системно пов’язують компрометацію RDP з інцидентами вимагачів, боковим переміщенням та викраденням даних. Поточна хвиля підвищує «фоновий шум» сканувань, ускладнюючи виявлення справді цільових спроб зламу на тлі масового трафіку.
Захист RDP: перевірений чеклист для швидкого зниження ризику
Поєднуйте негайні технічні дії з архітектурними змінами доступу:
- Приберіть експозицію RDP: закрийте прямий доступ з інтернету, використовуйте VPN, ZTNA або RD Gateway.
- Увімкніть NLA, застосуйте MFA до адмінських і віддалених сеансів, впровадьте політики складних паролів і блокування після невдалих входів.
- Налаштуйте allowlist для IP, геофільтрацію та часові обмеження для адміністративних вузлів.
- Моніторте і оперативно блокуйте джерела атак на периметрі (Firewall/WAF/EDR), враховуючи ротацію IP у ботнеті.
- Оновіть та пропатчіть ОС і RDP-стек, вимкніть застарілі протоколи і слабкі шифри.
- Увімкніть захист від перебору (fail2ban/lockout) для зовнішніх систем, ізолюйте критичні хости в окремих сегментах.
Що відстежувати в логах і мережевому трафіку
- Масові спроби встановлення RDP-сеансів із різних регіонів за короткий проміжок часу.
- Серії невдалих входів у локальні та доменні облікові записи, особливо з підвищеними привілеями.
- Аномалії в TLS-параметрах RDP (за наявності), повторювані TCP-профілі та відмінні MSS.
- Швидке перемикання джерел після блокування IP і повернення трафіку з нових підмереж провайдерів.
Масштабна кампанія GreyNoise, що стартувала 8 жовтня 2025 року, підкреслює зрілість і координацію ботнету з 100 000+ IP у понад 100 країнах. Розглядайте відкритий RDP як високий бізнес-ризик і пріоритезуйте архітектурні кроки: мінімізація експозиції, MFA, контроль джерел, посилений моніторинг і швидке блокування зловмисних діапазонів. Проведіть аудит RDP сьогодні, щоб зменшити ймовірність компрометації завтра і ускладнити зловмисникам перехід до шифрування даних чи бокового переміщення.
